Защита бренда от фишинга: как обнаружить и заблокировать поддельные домены

Масштаб проблемы фишинга

Фишинг остаётся одной из главных киберугроз в мире. Количество фишинговых атак растёт из года в год, достигая рекордных значений. В России ежегодно блокируются десятки тысяч фишинговых доменов.

Для бизнеса фишинг от имени бренда означает:

• Финансовые потери клиентов — мошенники крадут деньги и данные
• Репутационный ущерб — клиенты теряют доверие к бренду
• Юридические риски — возможные иски от пострадавших
• Потеря трафика — клиенты уходят на поддельные сайты

Виды угроз для бренда

1. Тайпсквоттинг (Typosquatting)

Регистрация доменов с опечатками в названии бренда:

• sberbank.ru → sberbnk.ru, sberbamk.ru, sberbank-online.ru
• yandex.ru → yandeks.ru, yandex-pay.ru, yandex-bank.ru

Злоумышленники рассчитывают на ошибки при ручном вводе URL или невнимательность при клике на ссылку в письме.

2. Гомоглифы (Homoglyph attacks)

Использование визуально похожих символов из других алфавитов:

• Латинская a → кириллическая а
• Латинская o → кириллическая о
• apple.com → аpple.com (первая буква кириллическая)

В адресной строке браузера такие домены могут выглядеть идентично оригиналу.

3. Комбосквоттинг (Combosquatting)

Добавление слов к названию бренда:

• brand-security.ru
• brand-login.ru
• brand-support.ru
• my-brand.ru
• brand-official.ru

Комбосквоттинг — один из самых распространённых типов фишинговых доменов.

4. Поддомены (Subdomain abuse)

Использование названия бренда в поддомене:

• sberbank.evil-site.ru
• login.brand.phishing.com
• secure.brand.free-hosting.ru

5. Клоны сайтов

Создание точных копий официального сайта:

• Копирование дизайна, логотипов, текстов
• Размещение на поддельном домене
• Часто используется в связке с фишинговыми email

6. Поддельные мобильные приложения

• Клоны официальных приложений в магазинах
• Приложения с похожими названиями и иконками
• Часто содержат malware или крадут учётные данные

7. Фишинговые email от имени бренда

• Подделка адреса отправителя (если нет SPF/DKIM/DMARC)
• Использование похожих доменов для отправки
• Социальная инженерия с использованием бренда

Методы обнаружения

1. Certificate Transparency (CT) Logs

Certificate Transparency — это система логирования всех выпущенных SSL-сертификатов. Когда злоумышленник получает SSL-сертификат для фишингового домена, это фиксируется в CT logs.

Как использовать:

• Мониторьте CT logs на выпуск сертификатов, содержащих ваш бренд
• Используйте сервисы: crt.sh, CertStream
• Настройте алерты на новые сертификаты с вашим брендом

Пример запроса на crt.sh:

https://crt.sh/?q=%25brand%25

Это покажет все сертификаты, содержащие слово brand в домене.

2. DNS-мониторинг

Отслеживание регистрации новых доменов, похожих на ваш:

• Мониторинг зон — ежедневная проверка новых регистраций в .ru, .com, .рф
• Fuzzing — генерация вариантов домена (опечатки, гомоглифы, комбинации)
• WHOIS-мониторинг — отслеживание регистраций на подозрительные данные

3. Веб-мониторинг

Поиск клонов вашего сайта в интернете:

• Google Alerts — уведомления об упоминаниях бренда
• Reverse image search — поиск по логотипу и изображениям сайта
• HTML fingerprinting — поиск страниц с похожей структурой

4. Мониторинг социальных сетей

• Поддельные аккаунты в социальных сетях
• Группы и каналы, имитирующие бренд
• Фишинговые ссылки в комментариях

5. Мониторинг магазинов приложений

• Поиск приложений с похожими названиями
• Мониторинг новых приложений, использующих ваш бренд
• Проверка APK-файлов на неофициальных площадках

6. EASM-платформы

Современные EASM-решения включают модули brand protection:

• Автоматическая генерация вариантов домена
• Мониторинг CT logs и новых регистраций
• Обнаружение клонов сайта
• Мониторинг фишинговых кампаний

Периметр включает модуль мониторинга бренда и фишинга, который автоматически обнаруживает подозрительные домены, связанные с вашей организацией.

Процедура блокировки (Takedown)

Шаг 1: Сбор доказательств

Перед подачей жалобы соберите:

• Скриншоты фишингового сайта с датой и временем
• WHOIS-данные домена
• HTTP-заголовки и HTML-код страницы
• Скриншоты из web.archive.org (если есть)
• Сравнение с вашим официальным сайтом

Шаг 2: Жалоба регистратору домена

Определите регистратора через WHOIS и подайте abuse-жалобу:

• Найдите email abuse@registrar.com в WHOIS
• Опишите нарушение (phishing, trademark infringement)
• Приложите доказательства
• Запросите приостановку домена

Среднее время реакции: от нескольких часов до 5 рабочих дней.

Шаг 3: Жалоба хостинг-провайдеру

Если регистратор не реагирует:

• Определите IP-адрес сайта
• Найдите хостинг-провайдера через WHOIS IP
• Подайте abuse-жалобу

Шаг 4: Обращение в CERT

В России:

• CERT-GIB (Group-IB) — для блокировки фишинга
• FinCERT (ЦБ) — для финансового фишинга
• RU-CERT — национальный CERT

Международные:

• Google Safe Browsing — для блокировки в Chrome
• Microsoft SmartScreen — для блокировки в Edge
• PhishTank — публичная база фишинга

Шаг 5: Обращение к поисковым системам

Запросите удаление из выдачи:

• Google: Report Phishing Page
• Yandex: support.yandex.ru

Шаг 6: Юридические меры

Если другие методы не работают:

• Жалоба в UDRP (Uniform Domain-Name Dispute-Resolution Policy)
• Обращение в суд (для доменов в зоне .ru — Арбитражный суд)
• Жалоба в правоохранительные органы

Автоматизация защиты бренда

Превентивные меры

Регистрация защитных доменов

Зарегистрируйте основные вариации вашего домена:

• Распространённые опечатки
• Основные зоны (.ru, .com, .рф, .org, .net)
• Комбинации с ключевыми словами (login, pay, secure)

Настройка email-аутентификации

SPF, DKIM и DMARC с политикой reject — ваша защита от email spoofing. Проверить настройки.

Trademark мониторинг

Зарегистрируйте товарный знак — это значительно упрощает процедуру takedown.

Мониторинг

• CT Logs — в реальном времени (CertStream, EASM)
• Новые домены — ежедневно (DNS мониторинг)
• Клоны сайта — еженедельно (Reverse image search)
• Соцсети — ежедневно (Brand monitoring)
• App stores — еженедельно (ручная проверка)

Метрики эффективности

• Время обнаружения — от регистрации домена до обнаружения
• Время блокировки — от обнаружения до takedown
• Количество обнаруженных угроз — тренд за период
• Процент успешных takedown — эффективность процесса

Защита бренда в email

Email-фишинг от имени бренда — самый массовый тип атаки.

SPF + DKIM + DMARC

Правильно настроенные протоколы email-аутентификации блокируют подделку отправителя:

1. SPF — определяет серверы, имеющие право отправлять почту
2. DKIM — подписывает письма цифровой подписью
3. DMARC с p=reject — отклоняет поддельные письма

Подробнее о настройке: руководство по SPF, DKIM, DMARC.

BIMI

Brand Indicators for Message Identification позволяет показывать логотип бренда в почтовых клиентах, помогая пользователям отличать настоящие письма от поддельных.

Практические рекомендации

Защита бренда от фишинга — это непрерывный процесс, требующий комбинации технических мер и организационных процедур.

Основные шаги:

1. Мониторьте — CT logs, новые домены, клоны сайта
2. Защитите email — SPF, DKIM, DMARC с reject
3. Регистрируйте — защитные домены и товарный знак
4. Блокируйте быстро — отработанная процедура takedown
5. Автоматизируйте — используйте EASM-платформу

Периметр обеспечивает комплексный мониторинг бренда: обнаружение фишинговых доменов, мониторинг CT logs, проверку email-аутентификации. Начните с бесплатной проверки вашего домена.